中国电子技术标准化研究院副院长高林
一、信息安全标准化工作具有重要意义
从本质上讲,标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。标准化工作已经成为治理能力提升的助推器、市场经济运行的耦合器、政府职能转变的容纳器以及技术创新的重要手段,信息安全标准更是对我国国家安全和社会长治久安具有重要的意义。
在信息安全领域,信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评等过程中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准通常由国家组织编制,并在此基础上对信息安全行业提供指导,从而实现维护国家安全和社会稳定的重要目的。
例如,网站可信、安全可靠办公信息系统等政府急需信息安全标准的编制,有力的保障了我国党政机关的信息安全、维护了国家利益;工业控制系统中的信息安全标准的制定,对于保护我国电力、石油化工以及公共交通等命脉行业的安全运营具有重要作用;国家网络安全审查有关支撑标准的制定,在确保我国国家网络空间安全的同时,也有效的保障了我国公民的个人隐私。
因此,作为我国网络安全保障体系的重要组成部分,信息安全标准是政府进行宏观管理的重要手段,是网络安全产业发展的重要支撑,是维护国家公民个人信息安全的重要保障。
二、信息安全标准制定工作的总体情况
信安标委成立以来,我国信息安全标准化工作经历了以跟踪和采用国际标准为主到采用国际标准与自主研制并重的发展历程,标准制定工作取得了显著成绩。截至2014年10月,信安标委共组织申报信息安全国家标准290项,其中284项已获批立项,正式发布国家标准142项。标准范围涵盖了信息安全基础、安全技术与机制、安全管理、安全评估以及保密、密码和通信安全等多个领域,有力保障了国家和社会的网络安全。
为了加强信息安全标准化工作的管理和为行业单位提供全方位服务,信安标委建设了国家信息安全标准管理与服务平台,实现对信息安全标准制定全生命周期过程的公开、透明化管理,创建了国内外信息安全标准资源库。同时,信安标委还高度重视信息安全标准化顶层设计与战略规划研究,并配合国家网络安全政策及各部门工作急需,及时研制了信息安全配套标准。在国际标准制定活动中,信安标委积极开展国际信息安全标准化交流工作,坚持跟踪研究国际动态,实质性参与国际标准化活动,提出多项国际标准提案及多份国际标准贡献物。我国信息安全标准体系的建立,为我国各项信息安全保障工作,例如云计算服务网络安全管理、政府信息系统安全检查、信息系统安全等级保护、信息安全产品检测与认证及市场准入、信息安全风险评估、涉密信息系统安全分级保护和保密安全检查等,提供了强有力的技术支撑和重要依据。
三、热点行业领域发展需要信息安全标准的技术支撑
随着云计算、大数据、物联网、智慧城市、移动互联网、工控系统安全等热点领域技术的完善与普及,社会各领域在感受到新技术带来巨大便利的同时,也深刻意识到了其带来的安全风险与隐患。这些热点行业领域的健康快速发展急需信息安全标准的技术支撑。
(一)云计算
(二)大数据
(三)物联网
作为通信网和互联网的网络延伸与应用拓展,物联网利用感知技术和智能装置对物理世界进行感知识别,通过网络传输互联,进行计算、处理和知识挖掘,从而实现人与物、物与物的信息交互和无缝链接,以达到对物理世界实时控制、精确管理和科学决策的目的。由于物联网中诸多被感知终端的配置性能无法满足传统数据加密算法的要求,面对繁杂的实际环境,各厂商均采用自有的加密策略,从而在一定程度上影响了物联网应用层中数据的处理。当前物联网技术急需统一的数据加密标准,从而为应用层中数据的协同处理提供支撑。
(四)工控系统安全
随着我国两化融合进程的加快,我国诸多工业命脉行业均对传统工业控制系统进行了信息化升级。当前工控系统在设计之初由于安全意识淡薄,技术条件薄弱等原因,使得信息安全问题逐渐出现在了工业控制领域。2010年伊朗政府核电站感染的Stuxnet病毒严重影响了核反应堆的安全运行;2011年美国黑客入侵伊利诺伊州城市供水系统的数据采集和监控系统,使得供水泵遭到破坏。工控系统中安全问题的发生除了传统的技术原因,更重要的是网络安全管理的规范化缺乏造成的。针对此现状,制定工控系统的安全管理、测评等标准,以此确保各工业行业的网络安全。